home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload Trio 2 / Shareware Overload Trio Volume 2 (Chestnut CD-ROM).ISO / dir33 / hr_5199.zip / ENCRYP_S < prev   
Text File  |  1994-07-22  |  5KB  |  110 lines

  1. Subject: EFF Reactions to Encryption Standards & Procedures Act (Draft)
  2. -----------------------------------------------------------------------
  3.  
  4. The staff of the House Science, Space, and Technology Committee has just
  5. released a draft bill which would create a somewhat more public process for
  6. establishment of Clipper-like escrowed encryption systems.  Entry of the
  7. Congress into this policy debate is a welcome change after 18 months of
  8. one-sided Executive Branch edicts.  However, considerable changes would be
  9. required before the legislation would meet EFF's goals for a truly open
  10. federal encryption policy which preserves the right of private individuals
  11. to use any form of encryption, without restriction or penalty.  
  12.  
  13. Despite its promise of an open process, this bill is by no means a
  14. repudiation of the Clipper program,  In fact, it enshrines in legislation
  15. several key aspects of the Clipper policy.  However, inasmuch as the bill
  16. seeks to establish NIST authority to develop escrow encryption systems, it
  17. raises real questions about whether NIST or other agencies have any
  18. authority now to spend federal funds on escrow encryption systems.
  19.  
  20.  
  21. Overview of the bill:
  22.  
  23. The bill directs the Department of Commerce, through the National Institute
  24. of Standards and Technology, to issue escrowed encryption standards.  The
  25. standards issued would be subject to public comment and afford the
  26. opportunity for judicial review under the terms of the Administrative
  27. Procedures Act.  Similar procedures created for the designation of
  28. government key escrow agents.
  29.  
  30. Several aspects of the Clinton Administration's approach to cryptography
  31. policy are accepted by this bill:
  32.  
  33. 1.      Absolute preservation of law enforcement and national security access
  34.  
  35. By this bill, any encryption standards adopted must "preserve the
  36. functional ability of the government to interpret, in a timely manner,
  37. electronic information that has been obtained pursuant to an electronic
  38. surveillance permitted by law."  Sec 31(b)(2)(E).
  39.  
  40. 2.      Weak privacy protection
  41.  
  42. The bill specifies that standards adopted should advance the development of
  43. the NII, but offers only qualified support for privacy.  Standards should
  44. are only required to go so far as to not "diminish existing privacy
  45. rights...." Sec 31(b)(2)(D).
  46.  
  47. 3.      Increased role for National Security Agency in civilian privacy and
  48. security matters
  49.  
  50. The bill establishes a permanent role for the National Security Agency in
  51. the creation of privacy and security standards for use by the private
  52. sector.  Currently, under the Computer Security Act, NIST is encouraged to
  53. consult with the NSA on matters of federal systems security and to draw
  54. "computer system technical security guidelines developed by the National
  55. Security Agency to the extent that the National Bureau of Standards
  56. determines that such guidelines are consistent with the requirements for
  57. protecting sensitive information in Federal computer systems."  This would
  58. explicitly extend the NSA role from federal systems to systems intended for
  59. public, civilian use.  As such, this is a major change in the Computer
  60. Security Act.
  61.  
  62.  
  63. Issues to be addressed in draft:
  64.  
  65. To create a truly open policy process, to protect privacy, and to ensure
  66. the development of the best privacy-protecting technology possible, the
  67. bill should be augmented with the following provisions:
  68.  
  69. 1.      Voluntary standards
  70.  
  71. Any legislation on encryption standards must guarantee that no one will be
  72. required to use such standards, nor will use of other encryption standards
  73. be curtailed by law.  Furthermore, federal encryption policy should
  74. guarantee that access to government programs, opportunities, or even the
  75. ability to communicate with the government, should never be conditioned on
  76. the use of any escrowed encryption standard.  From the first announcement
  77. of the Clipper program, the Clinton Administration has assured the public
  78. that escrowed encryption would remain voluntary.  This promise must be
  79. included in legislation.
  80.  
  81. 2.      Open design process
  82.  
  83. The draft bill does call for an open process for formation of encryption
  84. standards.  Legislation should make explicit that an open process means
  85. that no classified algorithms or technologies may be included.  Though
  86. there was public comment on the Escrowed Encryption FIPS (the Clipper
  87. Federal Information Processing Standard), public process in that case was
  88. meaningless because the core technology remained behind a veil of secrecy.
  89.  
  90. 3.      Remedies for negligence or abuse by escrow agents
  91.  
  92. As drafted, the proposal drastically limits the liability of federal escrow
  93. agents for all but "willful" abuse by federal employees.  The escrow
  94. agents must also be responsible for unauthorized release of keys because of
  95. the actions of private individuals or because of negligent practices by
  96. government agents.
  97.  
  98. 4.      Exploration of voluntary, private sector escrow agents
  99.  
  100. Finally, if the government is going to adopt a government-based escrow
  101. system, it should also be required to explore the possibility of private
  102. party escrow systems based on open standards.
  103.  
  104.  
  105. The full text of the draft bill is available from EFF's archives:
  106.  
  107. ftp.eff.org, /pub/EFF/Policy/Crypto/encryp_stds_procedures_94_bill.draft
  108. gopher.eff.org, 1/EFF/Policy/Crypto/encryp_stds_procedures_94_bill.draft
  109. http://www.eff.org/pub/EFF/Policy/Crypto/encryp_stds_procedures_94_bill.draft
  110.